Por separado, la plataforma de phishing como servicio (PhaaS) Forg365 fue identificada por investigadores de ZeroBEC (reportada del 9 al 13 de julio de 2026) como un kit comercial distribuido por Telegram que cuesta 400 dólares al mes (o 3800 dólares al año). A diferencia de las bifurcaciones personalizadas de Evilginx encontradas en el servidor expuesto, Forg365 agrupa múltiples métodos y herramientas de ataque en un solo panel de control para el operador .
Forg365 combina tres capacidades principales:
La plataforma también incluye evasión antibot (detecta entornos de pruebas y rastreadores de seguridad), acceso al buzón después del compromiso (los operadores pueden navegar y extraer correos electrónicos desde el panel), rotación de servidores SMTP y programación de campañas .
Estos dos descubrimientos ilustran la distinción crítica entre los ataques de proxy AiTM y el abuso del código de dispositivo. Comprender la diferencia es esencial porque la misma defensa no funciona para ambos:
Ataques de proxy AiTM (estilo Evilginx): El atacante configura una página de inicio de sesión falsa que actúa como proxy del tráfico hacia la página de inicio de sesión real de Microsoft. El usuario ingresa su contraseña y completa la MFA en el proxy del atacante. Después de una autenticación exitosa, Microsoft emite una cookie de sesión para lo que cree que es el navegador del usuario legítimo, pero esa cookie en realidad termina en el proxy del atacante, no en el navegador del usuario. El atacante puede entonces reutilizar esa cookie para acceder a la cuenta de Microsoft 365 de la víctima .
Phishing de código de dispositivo: El atacante genera un código de dispositivo legítimo de Microsoft (un código corto que se usa para iniciar sesión en dispositivos sin teclado, como televisores inteligentes) y lo envía a la víctima en un correo electrónico de phishing. La víctima visita la página de inicio de sesión real de Microsoft, ingresa el código, completa la MFA y autoriza la aplicación del atacante. No se "elude" nada: la víctima ha autorizado el acceso. El backend del atacante entonces consulta a Microsoft para obtener el token .
La defensa más efectiva contra los ataques de proxy AiTM es la MFA resistente al phishing, específicamente FIDO2/WebAuthn y passkeys. Estos métodos vinculan las credenciales al nombre de dominio legítimo, por lo que cuando el navegador del usuario se conecta al sitio proxy del atacante (que tiene un dominio diferente), el protocolo de autenticación detecta la discrepancia del dominio y bloquea automáticamente el intercambio de credenciales .
Otras defensas incluyen:
El phishing de código de dispositivo no requiere que el atacante engañe a la víctima para que ingrese sus credenciales en una página falsa; el usuario interactúa con la página de inicio de sesión real de Microsoft. Esto significa que FIDO2/passkeys por sí solos no protegen completamente contra este ataque porque se está utilizando el flujo OAuth legítimo .
La defensa principal es bloquear la concesión OAuth de código de dispositivo para los usuarios que no la necesiten, utilizando el Acceso Condicional de Microsoft Entra ID:
Defensas adicionales:
El aviso de servicio público del FBI de mayo de 2026 sobre la plataforma PhaaS Kali365 recomendó específicamente bloquear el flujo de código de dispositivo como defensa principal . A medida que plataformas de phishing como Forg365 continúan comercializando estas técnicas de ataque, la urgencia operativa para los defensores es clara: implementar FIDO2/passkeys para todas las cuentas privilegiadas para detener los ataques de proxy AiTM, y usar el Acceso Condicional para deshabilitar la concesión de código de dispositivo para los usuarios que no la necesiten. Un solo directorio abierto pudo haber expuesto tres campañas, pero las lecciones se aplican a cada inquilino de Microsoft 365.